アサヒ､アスクルは対岸の火事ではない！《｢国家×犯罪｣連合が日本企業を襲う》 地政学的サイバー攻撃で見えたセキュリティ後回しの"ツケ"

業務を止めることへの抵抗が強く、たとえ脆弱性が判明しても、パッチ適用のためにシステムを停止することは“業務優先”の名の下に先送りされる。結果として、サイバー攻撃に対して脆弱な状態が長期にわたって放置されてしまう。

インシデント対応においても同様だ。被害を最小限に抑えるためにはネットワークの即時隔離が基本であるが、「業務に支障が出る」という理由で実施をためらう企業が少なくない。業務部門がIT部門よりも強い権限を持つ日本企業特有の構造が、迅速な対応を阻んでいる。

災害を想定したBCPとサイバー対策は異なる

多くの企業が「BCP（事業継続計画）を考慮したバックアップ」を行っているが、その多くは地震や災害を想定したものである。サイバー攻撃への備えとは本質的に異なる。例えばオンライン上にバックアップを置いていた場合、攻撃者によりその領域ごと暗号化されれば意味をなさない。

真に有効な対策とは、ネットワークを分離した場所、あるいはクローズド環境にバックアップを保持することである。また、復旧時に「どの時点のイメージに戻すのか」を判断できなければ、感染前の健全な状態を再現することもできない。

つまり、セキュリティを前提とした設計思想が求められている。ERPなどの巨大システムを構築する際にも、データ連携の利便性を多少犠牲にしてでもネットワークをセグメンテーション化するなど、安全性を織り込んだ設計が不可欠である。クラウドを利用する場合にも、マイクロサービス化して、複数のサービスを安全に連携させる設計思想が問われる。